本發(fā)明公開了一種web漏洞確認(rèn)方法以及裝置，該方法包括：遍歷目標(biāo)程序，獲得遍歷結(jié)果；根據(jù)遍歷結(jié)果，對(duì)目標(biāo)程序中的目標(biāo)污點(diǎn)來源函數(shù)內(nèi)的參數(shù)進(jìn)行標(biāo)記，以獲得目標(biāo)污點(diǎn)參數(shù)；檢測(cè)目標(biāo)程序中的目標(biāo)危險(xiǎn)函數(shù)是否包含目標(biāo)污點(diǎn)參數(shù)和/或目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)；在檢測(cè)到目標(biāo)危險(xiǎn)函數(shù)包含目標(biāo)污點(diǎn)參數(shù)和/或目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)的情況下，確定目標(biāo)程序中存在web漏洞；在檢測(cè)到目標(biāo)危險(xiǎn)函數(shù)未包含目標(biāo)污點(diǎn)參數(shù)和/或目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)的情況下，確定目標(biāo)程序中不存在web漏洞。這樣，可以通過標(biāo)記污點(diǎn)并進(jìn)行污點(diǎn)追蹤實(shí)現(xiàn)漏洞檢測(cè)，無需了解應(yīng)用程序的內(nèi)部邏輯結(jié)構(gòu)，檢測(cè)速度快。可以快速發(fā)現(xiàn)代碼中的安全漏洞，效率較高。

技術(shù)領(lǐng)域

本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種web漏洞確認(rèn)方法以及裝置。

背景技術(shù)

web漏洞的種類較多，包括跨站腳本(Cross Site Scripting，XSS)、SQL注入、命令注入、文件包含等等。這些web漏洞危害大，給網(wǎng)站的安全帶來了較高的風(fēng)險(xiǎn)。如何保證網(wǎng)站的安全成為一個(gè)急需解決的問題。

現(xiàn)有技術(shù)中，針對(duì)web漏洞的檢測(cè)方法主要是使用源代碼掃描產(chǎn)品對(duì)軟件進(jìn)行代碼掃描。一方面可以找出潛在的風(fēng)險(xiǎn)，提高代碼的安全性，另一方面也可以進(jìn)一步提高代碼的質(zhì)量。但代碼掃描為靜態(tài)分析工具，掃描速度較慢，效率較低。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┝艘环Nweb漏洞確認(rèn)方法以及裝置，以解決現(xiàn)有技術(shù)中，檢測(cè)web漏洞的速度較慢，效率較低的問題。

第一方面，本發(fā)明提供了一種web漏洞確認(rèn)方法，包括：

遍歷目標(biāo)程序，獲得遍歷結(jié)果；

根據(jù)所述遍歷結(jié)果，對(duì)所述目標(biāo)程序中的目標(biāo)污點(diǎn)來源函數(shù)內(nèi)的參數(shù)進(jìn)行標(biāo)記，以獲得目標(biāo)污點(diǎn)參數(shù)；

檢測(cè)所述目標(biāo)程序中的目標(biāo)危險(xiǎn)函數(shù)是否包含所述目標(biāo)污點(diǎn)參數(shù)和/或所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)；

在檢測(cè)到所述目標(biāo)危險(xiǎn)函數(shù)包含所述目標(biāo)污點(diǎn)參數(shù)和/或所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)的情況下，確定所述目標(biāo)程序中存在web漏洞；

在檢測(cè)到所述目標(biāo)危險(xiǎn)函數(shù)未包含所述目標(biāo)污點(diǎn)參數(shù)和/或所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)的情況下，確定所述目標(biāo)程序中不存在web漏洞。

可選的，在所述檢測(cè)所述目標(biāo)程序中的目標(biāo)危險(xiǎn)函數(shù)是否包含所述目標(biāo)污點(diǎn)參數(shù)和/或所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)的步驟之前，所述方法還包括：

判斷所述目標(biāo)污點(diǎn)參數(shù)是否經(jīng)過污點(diǎn)處理函數(shù)進(jìn)行處理；

在判斷出所述目標(biāo)污點(diǎn)參數(shù)經(jīng)過所述污點(diǎn)處理函數(shù)進(jìn)行處理的情況下，確定所述目標(biāo)污點(diǎn)參數(shù)被轉(zhuǎn)換為安全參數(shù)；

在判斷出所述目標(biāo)污點(diǎn)參數(shù)未經(jīng)過所述污點(diǎn)處理函數(shù)進(jìn)行處理的情況下，對(duì)所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)進(jìn)行標(biāo)記，其中，所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)為對(duì)所述目標(biāo)污點(diǎn)參數(shù)進(jìn)行運(yùn)算所獲得的。

可選的，在檢測(cè)到所述目標(biāo)危險(xiǎn)函數(shù)包含所述目標(biāo)污點(diǎn)參數(shù)和/或所述目標(biāo)污點(diǎn)參數(shù)的結(jié)果參數(shù)的情況下，確定所述目標(biāo)程序中存在web漏洞的步驟之后，所述方法還包括：

將所述目標(biāo)污點(diǎn)來源函數(shù)內(nèi)的參數(shù)替換為目標(biāo)字符串；

檢測(cè)所述目標(biāo)危險(xiǎn)函數(shù)內(nèi)是否包含所述目標(biāo)字符串；

根據(jù)檢測(cè)結(jié)果驗(yàn)證所述目標(biāo)程序中是否存在所述web漏洞。

可選的，所述根據(jù)檢測(cè)結(jié)果驗(yàn)證所述目標(biāo)程序中是否存在所述web漏洞，包括：

在檢測(cè)出所述目標(biāo)危險(xiǎn)函數(shù)內(nèi)包含所述目標(biāo)字符串的情況下，確定所述目標(biāo)程序中不存在所述目標(biāo)字符串對(duì)應(yīng)的自定義污點(diǎn)處理函數(shù)，并確定所述目標(biāo)程序中存在所述web漏洞。

可選的，所述根據(jù)檢測(cè)結(jié)果驗(yàn)證所述目標(biāo)程序中是否存在所述web漏洞，包括：